Πολλές φορές έχει παρατηρηθεί ότι προγράμματα εναντίον των ιών αλλά και εξειδικευμένα προγράμματα καταπολέμησης δούρειων ίππων αδυνατούν να αντιμετωπίσουν αποτελεσματικά ένα νέο ιό, με όλες τις συνέπειες που αυτό έχει για το μέσο χρήστη αλλά και για τους χειριστές μεγαλύτερων συστημάτων.
Γι΄ αυτόν το λόγο αποφασίσα να σας περιγράψω έναν καθ΄ όλα ασφαλή και σίγουρο τρόπο να αντιμετωπίσετε τέτοιου είδους απειλές αλλά και να τις ανακαλύψετε, αν δεν ξέρετε ότι υπήρχαν.
Πριν προχωρήσουμε στη διαδικασία που θα περιγράψω, πρέπει να καταστήσω σαφές ότι υπάρχει μεγάλη πιθανότητα επέμβασης σε αρχεία των Windows που είναι αναγκαία στο σύστημα.
Για αποφυγή κάποιου λάθους, θα πρέπει πρώτα να γίνει ένα αντίγραφο ασφαλείας των αρχείων του συστήματος πριν προχωρήσει κανείς σε επεμβάσεις.Ένα ολοκληρωμένο αντίγραφο ασφαλείας της Registry των Windows περιέχει τα εξής αρχεία:
C:\(windows directory)\system.dat
C:\ (windows directory)\user.dat
C:\ (windows directory)\win.ini
C:\ (windows directory)\system.ini
C:\autoexec.bat
C:\config.sysΤα παραπάνω αρχεία είναι κρυφά και πρέπει να αλλάξει το χαρακτηριστικό τους,[να τα κάνουμε φανερά] ώστε να γίνει και η αντιγραφή τους με την εντολή : Attrib -h system.dat
Κατόπιν είναι δυνατή η αντιγραφή αυτών των αρχείων σε ένα άλλο directory, το όνομα του οποίου καλό θα είναι να αποτελείται από οκτώ χαρακτήρες το πολύ, ώστε να το βλέπει και το DOS.
Αν πάλι είστε σίγουροι για ότι κάνετε παραλείψτε όλη την παραπάνω διαδικασία.
Το πιο ευπαθές σημείο είναι η Registry των Windows και συγκεκριμένα τα εξής κλειδιά που αφορούν και τη εκκίνηση του συστήματος αλλά και την εκκίνηση προγραμμάτων χωρίς να επέμβει ο χρήστης:
HKEY_LOCAL_ MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Μια πολύ ύπουλη μορφή εκκίνησης ενός προγράμματος είναι η μέθοδος Not Known.
Γίνετε με μια επιπλέον εγγραφή σε ένα ήδη υπάρχον κλειδί της Registry και που έχει ως αποτέλεσμα κατά την εκτέλεση οποιουδήποτε αρχείου .EXE να φορτώνεται και το πρόγραμμα του Δούρειου Ίππου.
Αν υπάρχει τέτοια εγγραφή στη Registry σας, θα τη βρείτε στο κλειδί:
HKEY_CLASSES_ROOT\exefile\shell\open\command
Εδώ πρέπει κανονικά να βλέπετε την εξής εγγραφή:''''%1''%*''
Σε περίπτωση που το σύστημά σας έχει προσβληθεί, θα δείτε π.χ.Trojan.exe ''''%1''%*''
Για να αντιμετωπιστεί ο Δούρειος Ίππος, θα πρέπει να σβηστεί η εγγραφή Trojan.exe.
Αν επέμβετε στο κλειδί και σβήσετε μόνο την εγγραφή αυτή, θα δείτε ότι δεν θα μπορείτε πλέον να εκτελέσετε κανένα πρόγραμμα και το σύστημά σας έχει υποστεί σοβαρή ζημιά. Επειδή οι περισσότεροι Δούρειοι Ίπποι χρησιμοποιούν αυτήν τη μέθοδο για να μολύνουν το PC σας, χρειάζεται και μια πιο δραστική θεραπεία.
Ο σωστός τρόπος αντιμετώπισης είναι ο εξής:
Ξεκινήστε τον υπολογιστή σας σε DOS Mode.
Απομακρύνετε από τη Registry το συγκεκριμένο κλειδί με την εντολή:
Regedit /e Trojan.reg HKEY_CLASSES_ROOT\exefile\shell\open\command
Πλέον τα περιεχόμενα του μολυσμένου κλειδιού βρίσκονται στο αρχείο Trojan.reg, το οποίο μπορείτε να ανοίξετε με οποιοδήποτε επεξεργαστή κειμένου, π.χ.
Το Edit.exe αν βρίσκεστε σε DOS Mode. Εκεί μπορείτε να σβήσετε την εγγραφή Trojan.exe και αφού αποθηκεύσετε το αρχείο, επαναφέρετε το στη Registry με την εντολή:
Regedit Trojan.reg
Τέλος πρέπει να απαλλαγείτε και από το εκτελέσιμο αρχείο του Δούρειου Ίππου, του οποίου ξέρετε πλέον το όνομα και το οποίο μπορείτε με ένα απλό Dir /S να ανακαλύψετε και να σβήσετε.
Το σύστημά σας είναι πάλι καθαρό και σε λειτουργία.Με τον τρόπο που περιγράψαμε πιο πάνω, υπάρχει περίπτωση να αποτελέσει το στόχο ενός Δούρειου Ίππου το αρχείο Win.ini. Αυτό το αρχείο περιέχεται στα Windows για λόγους συμβατότητας με παλαιότερες εκδόσεις προγραμμάτων.
Εδώ υπάρχουν δυο εγγραφές:
Load=
Run=
Σπάνια Δούρειοι Ίπποι παίρνουν εντολή εκτέλεσης από αυτό εδώ το αρχείο.
Για να αντιμετωπίσουμε το πρόβλημα, κάνουμε boot πάλι σε DOS και ανοίγουμε το αρχείο Win.ini με κάποιον επεξεργαστή κειμένου.
Απομακρύνουμε την ύποπτη εγγραφή του πεδίου Load ή Run και κατόπιν αποθηκεύουμε το αρχείο Win.ini. Το σύστημα έχει επανέλθει σε φυσιολογική κατάσταση.
Κάπως πιο μπερδεμένα είναι τα πράγματα με το αρχείο System.ini, το οποίο αποτελεί επίσης έναν καλό στόχο κακόβουλων προγραμμάτων.
Στο αρχείο αυτό γίνεται προσδιορισμός του Shell με το οποίο εργάζεστε στα Windows, του περιβάλλοντος, δηλαδή, που χρησιμοποιείτε για διαχείριση των αρχείων που περιέχονται στο σύστημά σας και είναι συνήθως ο Explorer.exe
Δυστυχώς, στο σημείο που γίνεται η συγκεκριμένη αναφορά, τα Windows επιτρέπουν περισσότερες της μιας εγγραφές.
Πιο συγκεκριμένα, στο πεδίο:
[boot]
Shell= Explorer.exe
Σε περίπτωση που το σύστημά σας έχει προσβληθεί θα μπορούσε να ήταν
[boot] Shell=Explorer.exe Trojan.exe
Ο τρόπος αντιμετώπισης και αυτής της μορφής μόλυνσης είναι ο ίδιος που χρησιμοποιείται για το Win.ini, δηλαδή εκκίνηση από DOS και απομάκρυνση με κάποιον επεξεργαστή κειμένου της συγκεκριμένης εγγραφής.
Προσοχή: Πάντα φροντίζουμε και για την απομάκρυνση του εκτελέσιμου αρχείου του Δούρειου Ίππου από το σκληρό δίσκο!Σε πιο σπάνιες περιπτώσεις χρησιμοποιούνται και τα αρχεία Config.sys και Autoexec.bat για την εκκίνηση του προγράμματος ενός Δούρειου Ίππου.
Εκεί φορτώνεται το συγκεκριμένο πρόγραμμα σαν resident driver όπως π.χ. οι drivers της κάρτας ήχου.
Αν λοιπόν, διαπιστώσουμε κάποια περίεργη εγγραφή σε αυτά τα αρχεία, πρέπει να την ερευνήσουμε περαιτέρω, καταρχήν προσθέτοντας ένα rem στην αρχή της εντολής, ώστε να εμποδίσουμε την εκκίνηση του συγκεκριμένου προγράμματος και να διαπιστώσουμε ότι πρόκειται πράγματι για ιό και όχι για κάποιο σημαντικό driver.Κάποιοι πιο εξελιγμένοι Δούρειοι Ίπποι αντικαθιστούν πραγματικά εκτελέσιμα αρχεία των Windows με μολυσμένες εκδόσεις και είναι οι πιο δύσκολοι στην αντιμετώπισή τους.
Τα αρχεία που αποτελούν συνήθως στόχο είναι τα sysedit.exe και regedit.exe.
Σε περίπτωση που διαπιστώσουμε κάτι ύποπτο στο σύστημά μας και καταλήξουμε σε αυτήν την περίπτωση, θα πρέπει να αντικαταστήσουμε το ύποπτο αρχείο με το αυθεντικό που περιέχεται στο CD των Windows, πάντα από DOS Mode.
Εάν στο σύστημά μας υπάρχει Δούρειος Ίππος, αυτοί είναι οι μόνοι σίγουροι τρόποι για την απομάκρυνσή του.
Να επαναλάβω σε αυτό το σημείο την δημιουργία αντιγράφων ασφαλείας των αρχείων του συστήματος για την αποφυγή δυσάρεστων εξελίξεων.
Ακόμα και αν δεν έχετε ενδείξεις για κάποια ύποπτη δραστηριότητα στο σύστημά σας, κάντε ένα προληπτικό έλεγχο στα σημεία που αναφέρονται παραπάνω.
Μη ξεχνάτε ότι η πρόληψη είναι η καλύτερη θεραπεία.
 Πηγή: annaevi.freegr.net